Dobré popoludnie, drahý čitateľ!
Aktualizácie a novinky programu Digitálna ekonomika už nejaký čas aktívne sledujem. Z pohľadu interného zamestnanca systému EGAIS samozrejme proces na desaťročia. A to z pohľadu vývoja, aj z pohľadu testovania, rollbackov a ďalšej implementácie, po ktorých nasledujú nevyhnutné a bolestivé úpravy všemožných chýb. Napriek tomu je táto záležitosť potrebná, dôležitá a oneskorená. Hlavným objednávateľom a ťahúňom celej tejto zábavy je samozrejme štát. Vlastne ako na celom svete.
Všetky procesy už dávno prešli do digitálu alebo na ceste k nemu. Stále je to úžasné. Na rozlíšenie však existujú aj rubové strany medailí. Som človek, ktorý neustále pracuje s digitálnym podpisom. Som zástancom možno „včerajších“, ale „staromódnych“ spoľahlivých a obojstranne výhodných metód ochrany elektronického podpisu pomocou tokenov. Digitalizácia nám však ukazuje, že všetko je už dávno v „oblakoch“ a CEP tam tiež potrebuje ísť a potrebuje to veľmi rýchlo.
Snažil som sa zistiť, zatiaľ na úrovni legislatívno-technickej základne, kde to bolo možné, ako je to s cloud ES u nás a v Európe. Na túto tému totiž už vyšla nejedna vedecká práca. Preto vyzývajú profíkov v tejto veci, aby sa pripojili k vývoju témy.
Prečo je CEP v cloude atraktívny? V skutočnosti existujú pozitíva. Tieto plusy stačia. Je to rýchle a pohodlné. Znie to ako reklamný slogan, budete súhlasiť, ale toto sú objektívne charakteristiky cloudového EDS.
Rýchlosť spočíva v možnosti podpisovať dokumenty bez viazanosti na tokeny alebo čipové karty. Nezaväzuje nás používať iba pracovnú plochu. Stopercentná multiplatformová história pre všetky OS a prehliadače. To platí najmä pre fanúšikov produktov Apple, pre ktorých existujú určité ťažkosti s podporou ES v systéme MAC. Výjazd odkiaľkoľvek na svete, sloboda výberu CA (ani ruských). Na rozdiel od hardvéru CEP sa cloud computing vyhýba zložitosti kompatibility softvéru a hardvéru. Čo je, áno, pohodlné a, áno, rýchle.
A ako sa človek nemôže nechať zlákať takouto krásou? Diabol je v detailoch. Hovorme o bezpečnosti.
"Zamračené" CEP v Rusku
Bezpečnosť cloudových riešení, a najmä digitálny podpis, je jednou z hlavných bolestí bezpečnostných ľudí. Čo presne sa mi nepáči, čitateľ sa ma opýta, pretože každý už dlho používa cloudové služby a pomocou SMS je ešte spoľahlivejšie uskutočniť bankový prevod.
Vlastne ešte raz späť k detailom. Cloud EDS je budúcnosť, s ktorou je ťažké polemizovať. Ale nie teraz. K tomu musia nastať regulačné a právne zmeny, ktoré ochránia vlastníka cloud EDS.
čo máme dnes? Existuje množstvo dokumentov, ktoré definujú pojem ES, elektronická správa dokumentov (EDF), ako aj zákony o ochrane informácií a obehu údajov. Predovšetkým je potrebné vziať do úvahy Občiansky zákonník (Občiansky zákonník Ruskej federácie), ktorý upravuje používanie ES v dokumentoch.
Federálny zákon č. 63-FZ „O elektronickom podpise“ zo 06.04.2011. apríla XNUMX. Hlavný a rámcový zákon popisujúci všeobecný význam používania elektronického podpisu pri transakciách rôzneho charakteru a poskytovaní služieb.
Federálny zákon č. 149-FZ „O informáciách, informačných technológiách a ochrane informácií“ z 27.07.2006. júla XNUMX. Tento dokument špecifikuje pojem elektronického dokumentu a všetky súvisiace segmenty.
Regulácia EDF zahŕňa ďalšie legislatívne akty
Federálny zákon 402-FZ "O účtovníctve" zo dňa 06.12.2011. Legislatívny akt zabezpečuje systematizáciu náležitostí účtovníctva a účtovných dokladov v elektronickej podobe.
Vrátane môžete vziať do úvahy Arbitrážny poriadok Ruskej federácie, ktorý umožňuje dokumenty podpísané ES ako dôkaz na súde.
A práve tu ma napadlo hlbšie sa ponoriť do problematiky bezpečnosti, pretože naše štandardy pre kryptoochranné nástroje poskytuje FSB a zabezpečujú vydávanie certifikátov o zhode. Od 18. februára boli zavedené nové GOST. Kľúče uložené v cloude teda nie sú priamo chránené certifikátmi FSTEC. Ochrana samotných kľúčov a bezpečný vstup do „oblaku“ sú základné kamene, o ktorých sme sa ešte nerozhodli. Ďalej zvážim príklad regulácie v Európskej únii, ktorý jasne ukáže pokročilejší bezpečnostný systém.
Európske skúsenosti s používaním cloudových ES
Začnime tým hlavným – cloudové technológie, nielen ES, majú jasný štandard. Základ skupiny pre koordináciu štandardov pre cloud (CSC) Európskeho inštitútu pre telekomunikačné normy (ETSI). V jednotlivých krajinách však stále existujú rozdiely v štandardoch ochrany údajov.
Základom komplexnej ochrany údajov je povinná certifikácia pre poskytovateľov podľa ISO 27001:2013 pre systémy manažérstva informačnej bezpečnosti (zodpovedajúca ruská GOST R ISO / IEC 27001-2006 vychádza z verzie tejto normy z roku 2006).
ISO 27017 poskytuje dodatočné bezpečnostné prvky pre cloud, ktoré nie sú v ISO 27002. Úplný oficiálny názov tejto normy je „Code of practice for information security control based on ISO/IEC 27002 for cloud services“ („Code of practice for information security“ kontroly založené na ISO/IEC 27002 pre cloudové služby“).
V lete 2014 vydala ISO normu ISO 27018:2015 o ochrane osobných údajov v cloude a koncom roka 2015 ISO 27017:2015 o kontrolách informačnej bezpečnosti pre cloudové riešenia.
Na jeseň 2014 vstúpilo do platnosti nové nariadenie Európskeho parlamentu č.910/2014 s názvom eIDAS. Nové pravidlá umožňujú používateľom ukladať a používať kľúč CEP na serveri akreditovaného poskytovateľa dôveryhodných služieb, takzvaného TSP (Trust Service Provider).
Európsky výbor pre normalizáciu (CEN) v októbri 2013 prijal technickú špecifikáciu CEN / TS 419241 „Bezpečnostné požiadavky na dôveryhodné systémy podporujúce podpisovanie serverov“, venovanú regulácii cloudového EDS. Dokument popisuje niekoľko úrovní zabezpečenia súladu. Napríklad vyhovieť „úrovni 2“ požadovanej na vytvorenie kvalifikovaného elektronického podpisu znamená podporovať silné možnosti autentifikácie používateľov. Podľa požiadaviek tejto úrovne sa autentifikácia používateľa uskutočňuje priamo na podpisovom serveri, na rozdiel napríklad od autentizácie povolenej pre "úroveň 1" v aplikácii, ktorá vo svojom mene pristupuje na podpisový server. V súlade s touto špecifikáciou musia byť používateľské podpisové kľúče na vytvorenie kvalifikovaného ES uložené v pamäti špecializovaného zabezpečeného zariadenia (hardvérový bezpečnostný modul, HSM).
Overenie používateľa v cloudovej službe musí byť minimálne dvojfaktorové. Najdostupnejšou a najjednoduchšou možnosťou je spravidla potvrdenie zadania pomocou kódu prijatého v SMS správe. Napríklad väčšina osobných účtov RBS ruských bánk bola implementovaná. Okrem bežných kryptografických tokenov možno ako prostriedok autentifikácie použiť aj aplikáciu v smartfóne a generátory jednorazových hesiel (OTP tokeny).
Momentálne môžem zhrnúť medzivýsledok, čo sa týka toho, že cloudové CEP sa u nás stále tvoria a od železa je priskoro. V princípe ide o prirodzený proces, ktorý aj v Európe (och, super!) trval približne 13-14 rokov, kým sa nevypracovali viac-menej presné normy.
Kým nevyvinieme dobré GOST, ktoré regulujú naše cloudové služby, je príliš skoro hovoriť o úplnom odmietnutí hardvérových riešení. Naopak, teraz začnú smerovať k „hybridom“, teda pracovať aj s cloudovými podpismi. Niektoré príklady, ktoré zodpovedajú európskym štandardom pre prácu s Cloudom, už boli implementované. Ale o tom viac v novom článku.
Zdroj: hab.com